Cybersicherheit: 77% Chefs verantwortlich, nur 34% der Mitarbeiter

Eine aktuelle Studie zeigt: Deutschlands Geschäftsführer nehmen die Verantwortung zunehmend ernst – doch in der Belegschaft klafft eine gefährliche Lücke.

IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen

Verantwortung konzentriert sich an der Spitze

Die Untersuchung „Cybersicherheit in Zahlen“ des IT-Sicherheitsanbieters G Data, die Anfang dieser Woche veröffentlicht wurde, belegt einen deutlichen Trend: 77 Prozent der Geschäftsführer fühlen sich persönlich stark für die IT-Sicherheit ihres Unternehmens verantwortlich. Je weiter man die Hierarchie hinabsteigt, desto dünner wird dieses Verantwortungsgefühl.

Nur noch 60 Prozent der Bereichsleiter und 50 Prozent der Abteilungsleiter geben eine ähnlich starke Betroffenheit an. Bei Teamleitern sind es gerade einmal 41 Prozent – und in der Belegschaft ohne Führungsrolle fühlen sich lediglich 34 Prozent für Cybersicherheit zuständig. Besonders alarmierend: 43 Prozent der Mitarbeiter ohne Führungsverantwortung sehen sich gar nicht in der Pflicht.

Andreas Lüning von G Data sieht darin einen klaren Beleg für die Wirkung der neuen Regulierung: „Die NIS-2-Richtlinie zeigt Wirkung. Cybersicherheit ist nun eindeutig als Führungsaufgabe verankert.“ Unterstützt wird diese Entwicklung durch gesetzliche Vorgaben, die eine persönliche Haftung der Geschäftsleitung vorsehen und spezifische Cybersicherheitsschulungen für Führungskräfte vorschreiben.

Strenge Auflagen für 18 kritische Sektoren

Der Anwendungsbereich von NIS-2 ist weit gefasst. Die Richtlinie betrifft 18 kritische Sektoren – darunter Energie, Verkehr, Gesundheitswesen, Finanzen und digitale Infrastruktur. Im Fokus stehen vor allem mittelständische Unternehmen ab 50 Mitarbeitern oder einem Jahresumsatz von mindestens zehn Millionen Euro.

Die betroffenen Organisationen müssen zehn zentrale Risikomanagement-Maßnahmen umsetzen. Dazu gehören:

• Risikoanalysen
• Vorfallreaktionsprotokolle
• Geschäftskontinuitätsmanagement
• Lieferkettensicherheit
• Einsatz von Kryptografie und Multi-Faktor-Authentifizierung

Hinzu kommt eine strenge Meldepflicht: Erste Hinweise auf einen Sicherheitsvorfall müssen innerhalb von 24 Stunden gemeldet werden.

Die Strafen bei Verstößen sind empfindlich. Für besonders wichtige Einrichtungen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen sind es bis zu sieben Millionen Euro oder 1,4 Prozent des globalen Umsatzes.

Die nationale Umsetzungsfrist endete bereits am 17. Oktober 2024, die Registrierungsfrist bei den Behörden lief am 6. März 2026 ab. Dennoch kämpfen viele Unternehmen noch mit der vollständigen Umsetzung.

Künstliche Intelligenz als neues Risiko

Der Druck zur Compliance kommt zu einer Zeit, in der Cyberbedrohungen als das größte Geschäftsrisiko überhaupt gelten. In Deutschland sehen 52 Prozent der Befragten Cyberangriffe und IT-Ausfälle als ihre größte Bedrohung – deutlich mehr als der globale Durchschnitt von 42 Prozent.

Künstliche Intelligenz entwickelt sich dabei zunehmend zum Risikofaktor. In Deutschland rangiert sie bereits auf Platz vier der größten Gefahren. Die Telekom MMS berichtete am 26. Mai 2026, dass unkontrollierte KI-Nutzung durch Mitarbeiter zu „Schatten-IT“ und Compliance-Risiken führt – etwa durch Datenlecks und mangelnde Transparenz.

Jörg Hastreiter von Telekom MMS erklärt: „Diese Schatten-IT entsteht oft aus Produktivitätsdruck, nicht aus böser Absicht.“ Um die Risiken zu minimieren, setzen Unternehmen zunehmend auf kontrollierte KI-Umgebungen mit europäischer Datenspeicherung und rollenbasierten Zugriffsrechten.

Neben der NIS-2-Richtlinie stellen auch neue KI-Gesetze Unternehmen vor komplexe Herausforderungen. Welche rechtlichen Pflichten und Bedrohungen Sie jetzt kennen müssen, erfahren Sie in diesem kostenlosen Report. Gratis-Leitfaden zur EU-KI-Verordnung jetzt anfordern

Physische Infrastruktur im Visier

Doch nicht nur Software-Schwachstellen bereiten Sorgen. Die Bundeswehr warnte zuletzt vor einer zunehmenden Sabotagegefahr für kritische Infrastruktur in der Nordsee. Seit 2024 ist ein Anstieg hybrider Angriffe auf Energie- und Verkehrsnetze in NATO-Staaten zu verzeichnen. Offshore-Windparks wurden daraufhin als verteidigungsrelevante Infrastruktur eingestuft.

Politische Debatte um Belastung der Wirtschaft

Die Umsetzung der Cybersicherheitsregulierung bleibt politisch umstritten. Bei einem Besuch in Peking am 27. Mai 2026 warb Bundeswirtschaftsministerin Katherina Reiche (CDU) für fairen Wettbewerb und verlässlichen Zugang zu Rohstoffen für deutsche Unternehmen.

Doch im Inland regt sich Kritik. Während der Reise, an der auch Vorstände von BASF und Thyssenkrupp teilnahmen, warfen politische Gegner der Regierung vor, die NIS-2-Umsetzung und das Cybersicherheitsstärkungsgesetz würden den Mittelstand übermäßig belasten. Die Bundesregierung verweist dagegen auf die strategische Notwendigkeit der Maßnahmen zum Schutz der deutschen Wirtschaft, die 2025 ein Handelsvolumen von 250 Milliarden Euro mit China erzielte.

de | wirtschaft | 69429358 |